Ini Cara Baru Peretas Mencuri Akun Anda

Read Time:2 Minute, 15 Second

Peneliti keamanan di University of California San Diego dan Stanford, Amerika Serikat, telah menemukan cara baru untuk mengekspos riwayat penelusuran pengguna Internet.

Teknik-teknik ini dapat digunakan oleh peretas untuk mengetahui situs web mana yang telah dikunjungi pengguna saat mereka menjelajahi web.

Teknik ini termasuk dalam kategori serangan “menghirup sejarah”, sebuah konsep yang berasal dari awal 2000-an. Tetapi serangan yang diperlihatkan oleh para peneliti di Lokakarya USENIX 2018 tentang Teknologi Ofensif (WOOT) di Baltimore, Amerika Serikat, dapat membuat profil atau ‘sidik jari’ aktivitas online pengguna dalam hitungan detik, dan bekerja di versi browser web terbaru.

Semua serangan yang dikembangkan peneliti dalam makalah WOOT 2018 itu bekerja di Google Chrome. Dua dari serangan tersebut juga bekerja pada sejumlah browser lain, dari Mozilla Firefox ke Microsoft Edge, serta berbagai browser riset yang berfokus pada keamanan.

Satu-satunya browser yang terbukti kebal terhadap semua serangan adalah Tor Browser, yang tidak menyimpan catatan riwayat penelusuran.

“Harapan saya adalah bahwa keparahan beberapa serangan yang diterbitkan kami akan mendorong vendor browser untuk meninjau kembali bagaimana mereka menangani data sejarah,” ujar kata Profesor Deian Stefan, ahli ilmu komputer di Jacobs School of Engineering di UC San Diego.

“Saya senang melihat orang-orang dari Mozilla, Google, dan komunitas World Wide Web Consortium (W3C) yang lebih luas sudah terlibat dalam ini, ” sambung Deian Stefan.

Salah satu caranya lewat phishing. Sebagian besar pengguna internet sekarang akrab dengan “phishing;” penjahat dunia maya membangun situs web palsu yang meniru, katakanlah, bank, untuk mengelabui mereka agar memasukkan rincian login mereka.

Semakin banyak phisher dapat mengetahui tentang calon korban mereka, semakin besar kemungkinan penipu berhasil mengakses akun pengguna. Misalnya, pelanggan Chase lebih mungkin untuk dibodohi ketika disajikan dengan halaman login Chase palsu daripada jika phisher berpura-pura menjadi Bank of America.

Setelah melakukan serangan mengendus sejarah yang efektif, penjahat dapat melakukan skema phishing pintar, yang secara otomatis mencocokkan setiap korban dengan halaman palsu yang sesuai dengan bank mereka yang sebenarnya.

Phisher memuat kode serangan dengan daftar situs web perbankan target mereka, dan menyembunyikannya, misalnya, iklan yang tampak biasa.

Ketika seorang korban menavigasi ke halaman yang berisi serangan, kode berjalan melalui daftar ini, menguji atau ‘mengendus’ browser korban untuk tanda-tanda bahwa itu telah digunakan untuk mengunjungi setiap situs target.

Ketika salah satu dari situs-situs ini tes positif, phisher kemudian dapat mengarahkan korbannya ke versi palsu yang sesuai.

Semakin cepat serangan, semakin lama daftar situs target penyerang dapat ‘mengendus’ dalam jumlah waktu yang wajar.

Serangan mengendus sejarah tercepat telah mencapai tingkat ribuan URL yang diuji per detik, memungkinkan penyerang untuk dengan cepat mengumpulkan profil rinci aktivitas online peselancar web.

Penjahat dapat membuat data sensitif ini berfungsi dalam sejumlah cara selain phising: misalnya, dengan memeras pengguna dengan detail memalukan atau kompromi dari riwayat penelusuran mereka.